Sobre contas de logon de serviço
Quando um serviço baseado em Win32 é iniciado, ele faz logon no computador local. Ele pode fazer logon como:
- Uma conta de usuário local ou de domínio.
- A conta do LocalSystem.
A conta de logon determina a identidade de segurança do serviço em tempo de execução, ou seja, o contexto de segurança principal do serviço. O contexto de segurança determina a capacidade do serviço de acessar recursos locais e de rede. Por exemplo, um serviço em execução no contexto de segurança de uma conta de usuário local não pode acessar recursos de rede. Por outro lado, um serviço em execução no contexto de segurança da conta LocalSystem em um controlador de domínio (DC) do Windows 2000 teria acesso irrestrito ao DC. Para obter mais informações e uma discussão sobre os benefícios e limitações entre contas de usuário e LocalSystem, consulte Security Contexts e Ative Directory Domain Services.
Em última análise, os administradores no sistema onde o serviço está instalado têm controle sobre a conta de logon do serviço. Por motivos de segurança, alguns administradores podem não permitir que você instale o serviço na conta LocalSystem. Seu serviço deve ser capaz de ser executado em uma conta de usuário de domínio. Como programador, pode exercer algum controlo sobre a conta de início de sessão do seu serviço. O instalador do serviço especifica a conta de logon do serviço quando chama a função CreateService do para instalar o serviço em um computador host. O instalador pode sugerir uma conta de logon padrão, mas deve permitir que um administrador especifique a conta real.
O instalador também pode executar as seguintes tarefas relacionadas à conta de logon do serviço:
- Instalação. Se estiver instalando o serviço para ser executado em uma conta de usuário, a conta deverá existir antes de você chamar CreateService. Você pode usar uma conta existente ou criar uma como parte do instalador do computador host. Para obter mais informações, consulte Configurando a conta de usuário de um serviço.
- Autenticação. Se desejar que os clientes usem a autenticação mútua Kerberos, registre os SPNs na conta de logon do serviço. Se o serviço for executado sob a conta LocalSystem, a conta de logon do serviço será a conta de computador do computador host. Para obter mais informações, consulte Nomes Principais de Serviço.
- Conceder acesso. Certifique-se de que o serviço em tempo de execução tenha os direitos de acesso e privilégios necessários para executar suas tarefas. Isso pode exigir a configuração de entradas de controle de acesso (ACEs) nos descritores de segurança de vários recursos, ou seja, objetos de diretório, compartilhamentos de arquivos e assim por diante, para permitir os direitos de acesso necessários à conta de usuário ou computador. Para obter mais informações, consulte Concedendo direitos de acesso à conta de logon do serviço.
- Definir privilégios. Atribua privilégios à conta de logon especificada, como o direito de iniciar sessão como serviço no computador anfitrião. Para obter mais informações, consulte Conceder o direito de iniciar sessão como um serviço no computador anfitrião.
Depois que um serviço é instalado, há tarefas de manutenção relacionadas à sua conta de logon de serviço. Para obter mais informações, consulte Tarefas de manutenção de conta de logon.
- Manutenção da palavra-passe. Para um serviço executado sob uma conta de usuário, você deve alterar periodicamente a senha e manter a senha sincronizada com a senha usada por um ou mais gerentes de controle de serviço locais para iniciar o serviço.
- Manutenção de SPN. Se uma conta de logon de serviço for alterada, remova os SPNs registrados na conta antiga e registre-os na nova conta. Lembre-se de que, quando um serviço é instalado, um administrador de domínio pode alterar a conta sob a qual o serviço é executado; use as funções do Win32 ou a interface do usuário da ferramenta administrativa Gerenciamento do Computador.
- Manutenção ACE. Se uma conta de logon de serviço for alterada, é necessário atualizar as ACEs e as associações de grupo para garantir que o serviço continue a ter acesso aos recursos necessários.